News

ISO 27001: Information-Risk-Management

Datendiebstahl 3.0

Daniel Holzinger21.08.2014, 13:46

In der heutigen Zeit genügen ein Datenträger und ein bestechlicher Mitarbeiter, um immense Datenmengen unbemerkt aus dem Unternehmen zu schleusen. Hinzu kommen Hacker, Wirtschaftsspione und konkurrierende Unternehmen, die Datendiebstähle durchführen – alles kinderleicht. Die jüngste Schlagzeile in den Medien lautete: 18 Millionen gestohlene E-Mail-Adressen samt Passwörter. Ein neuer Höhepunkt im Cyberwar und dem Kampf um das wichtigste Gut in unserer globalen Wirtschaftswelt: Informationen. Der Datendiebstahl 3.0 lässt grüßen – und das mit gravierenden Folgen.

Nicht ohne Grund schlagen Experten Alarm. Einer aktuellen Studie der Wirtschaftsprüfungs- und Bera-tungsgesellschaft PricewaterhouseCoopers (PwC) zufolge sind deutsche Mittelständler nur unzureichend vorbereitet, wenn es um Hackerangriffe, Datendiebstahl und andere Formen der Cyber-Kriminalität geht. Die Experten von PwC resümieren: Sicherheitsvorkehrungen sind häufig lückenhaft oder überhaupt nicht implementiert – rund jedes fünfte von 405 befragten Unternehmen hat keine Prozesse zur Informationssicherheit definiert oder kann hierzu keine näheren Angaben machen. Hinzu kommt, dass sich viele Unternehmen schwer tun, geeignete Sicherheitsmaßnahmen für mehr Informationssicherheit aufzubauen. In eine ähnliche Richtung denkt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Deren Experten sehen unterschiedliche Umstände in Institutionen, warum es keine Akzeptanz für mehr Informationssicherheit gebe. Als Gründe führt das BSI neben der mangelnden Unternehmenskultur vor allem Vorgesetzte an, die vielfach nicht als gutes Beispiel bei Informationssicherheitsfragen vorangingen.

Organisationen aller Branchen müssen sich auf einen durchgängigen Schutz der eigenen Informationen als außerordentlich wichtige Werte einstellen. Mehr noch ist eine organisationsweite Sicherheitsstrategie Pflicht, gerade weil Informationssicherheit den Schutz von sensiblen und unternehmenskritischen Informationen zum Ziel hat.

Grobe Leitplanken bieten Standards

Grobe Leitplanken für die praktische Umsetzung erhalten Unternehmen mithilfe von Standardisierungen, wie dem Internationalen Standard ISO/IEC 27001 zur Umsetzung eines Informationssicherheitsmanagement-Systems (ISMS). Ein ISMS ist eine Aufstellung von Verfahren und Regeln, mit deren Hilfe die Informationssicherheit innerhalb eines Unternehmens dauerhaft verbessert werden soll. Der Definition des Branchenverbandes Bitkom folgend, erlaubt ein ISMS "ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebettete Kontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren". Ende 2013 wurde die zweite Ausgabe des ISO-Standards veröffentlicht.

Neu ist der konkrete Auftrag an Entscheider, die im Rahmen der ISO-Ausgestaltung beschriebenen Aufgaben wahrzunehmen. Die Grundlage für die Ausgestaltung von ISO 27001 bietet der so genannte Annex SL, der für alle Managementsysteme bestimmend ist. Mit ihm wird das Ziel verfolgt, die diversen Managementsysteme einfacher in Organisationen einzubinden (Stichwort: Integrierte Managementsyste-me). Als Teil eines übergreifenden Managementsystems ist das aktive und vorausschauende Lenken der Informationssicherheit als Prozess zu verstehen.

Fallstricke vermeiden

Um Fallstricke beim Aufbau eines ISMS im Vorfeld zu umgehen, ist eine vorausschauende und gewissenhafte Berücksichtigung aller beteiligten Organisationsprozesse obligatorisch. Und das inklusive ausreichend flexibler Prozessplanungen, um zukünftige Anwendungen besser einbinden zu können. Zumal ein modernes ISMS den Bereich eines Information-Risk-Management beinhalten sollte. Im Idealfall lassen sich identifizierte Risiken aus einem ISMS in ein unternehmensweites Enterprise-Risk-Management (ERM) integrieren. Der Vorteil dieses Vorgehens ist, dass der einmalige Input von Informationen den Nutzen für die Gesamtorganisation steigert. Informationen können in verschiedenen Zusammenhängen weiterverarbeitet und als eine Art Wissenspool in allen Fachbereichen verwertet werden. Dieser komplexe Gesamtprozess der Einführung eines ISMS sowie der zentralen Steuerung bedingt einen Chief-Information-Security-Officer (CISO) als Verantwortlichen im gesamten Infor-mationssicherheitsprozess, der im Idealfall direkt an die Geschäftsführung berichtet, die schlussendlich für das Thema verantwortlich ist.

Für das Top-Management bedeutet das Einführen und der Regelbetrieb eines ISMS, dieses mit den strategischen Zielen des Unternehmens zu verschmelzen sowie die Wirksamkeit des Gesamtsystems si-cherzustellen. Voraussetzung dafür ist die Bereitschaft der Geschäftsleitung, ein integriertes Managementsystem in der Gesamtorganisation zu etablieren und aktiv zu steuern. Oder anders formuliert: Ein ISMS ist zunächst Chefsache.

Chancen erkennen

Unter dem Punkt "Planen" ist die Risiken- und Chancenerkennung im neuen ISO-Standard 27001 verankert. Im Klartext heißt das: Unternehmen müssen Risiken und vor allem Chancen in Organisationen besser abbilden – mithilfe eines in die Zukunft gerichteten Blicks. In Unternehmen jeder Größe ist in diesem Kontext eine vorausschauende Informationssicherheitsplanung Pflicht. Sie ist mittlerweile ein integraler Bestandteil von Unternehmensrisiken. Organisationen sollten ihre kritischen Informationen kennen, herausfiltern und schützen, um sich im harten globalen Wettbewerb zu behaupten.

Trotz aller technischen Vorgaben, Prozessverbesserungen und Sicherheitsmaßnahmen mithilfe eines ISMS, ist die Grundvoraussetzung eine entsprechende Unternehmenskultur. Im Grunde geht es um das Etablieren einer Sicherheitskultur im Unternehmen, die alle Mitarbeiter verinnerlichen und leben. Und solch eine Kultur des Sicherheitsgedankens muss wachsen. In diesem Kontext sollten Unternehmen besonderen Fokus auf die Mitarbeiter legen und diese als Teil der Unternehmenskultur verstehen. Nicht ohne Grund sehen Experten unzufriedene Mitarbeiter als eine wesentliche Triebfeder beim Informationsdiebstahl in den eigenen Reihen. Es gilt eine hohe Loyalität der Mitarbeiter zu erzeugen und ihnen den Zweck neuer Sicherheitsvorkehrungen frühzeitig mitzuteilen. Mehr noch sollten Organisationen die eigenen Mitarbeiter in den Findungsprozess einbinden. Es zählen Kollegen, denen man das ehrliche Gefühl gibt, dass sie ein vertrauensvoller und wichtiger Teil des Unternehmens sind. Ist dies der Fall, wird den Mitarbeitern ein Gefühl von Achtung reflektiert.

Und die Konsequenz? Sie sind für Neues offen und haben eine stärkere emotionale Bindung an das Unternehmen. Im Ergebnis verbessert sich die Unternehmens- und Risikokultur. Hilfreich sind an dieser Stelle Awareness-Programme, die Mitarbeiter stärker für die Gefahren im Umgang mit sensiblen Unternehmensinformationen als dem wichtigsten Gut in unserer globalen Wirtschaftswelt sensibilisieren.

Daniel Holzinger, Chief Operating Officer, avedos business solutions gmbhAutor:

Daniel Holzinger, Chief Operating Officer, avedos business solutions gmbh


[Der Artikel wurde erstmals auf der Website funkschau.de veröffentlicht]

[ Bildquelle: © ra2 studio - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Quo vadis Big Data?

Big Data und die Welt der Algorithmen und Analysen

Redaktion RiskNET22.09.2017, 12:52

Big Data ist en vogue. Vor allem die Wirtschaft trommelt seit Jahren für einen stärkeren Einsatz neuer Analysemethoden. Der Glaube: alles zu jeder Zeit im Blick haben und vorausschauend bestimmen zu...

Kolumne

Blickpunkt

Digital, digitaler, am digitalsten

Redaktion RiskNET06.09.2017, 10:09

Als im Jahr 1761 das französische Schiff "Utile" vor der Insel Tromelin im indischen Ozean sank, rettete sich eine Gruppe von Sklaven auf das Eiland. Die nur rund 1,7 Kilometer lange und...

Interview

IDW PS 981

Licht und Schatten im Risikomanagement

Redaktion RiskNET28.08.2017, 08:19

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...